本文尝试列举出由各国军事情报处的网络安全部门开发的最危险、最有效也是最闻名的恶意软件清单，其中有些可以说早已盛名在外，另一些可能你还没听过……然而这正是它最危险之处。一、Regin

  在2014年被公开披露，但最早的样本可以追溯到2011年，但也有一些人怀疑Regin早在2003年就被创建了。

  一些已为人知的Regin野外部署案例包括比利时电信公司，德国政府反动，以及最近的一个案例，俄罗斯搜索巨头Yandex。

  在技术层面上，安全研究人员认为Regin是迄今为止最先进的恶意软件框架，它具有数十个功能模块，其中绝大多数模块都是围绕监控操作设计，保证感染主机后也不被发现。二、Flame

  Flame有点类似它的“大哥”Region，也是在框架之上工作的模块集合，根据操作员所需要的特性进行部署。

  2012年，伊朗国家认证中心的MAHERCenter在针对伊朗政府机构的袭击中发现了Flame。而这一发现和stuxnet恶意软件攻击时隔两年，并很快与方程式组织（美国国家安全局的代号）联系到了一起。后来在针对其他中东政府的袭击中也发现了Flame。目前，Flame的页面保存了所有与flame相关的发现。三、Stuxnet

  该恶意软件是在2000年代由美国国家安全局和以色列8200部队（以色列军方的网络部门）共同共同开发的。2010年在伊朗部署，作为两国致力破坏伊朗核计划的一部分。

  据说，Stuxnet在释放时使用了四个不同的零日漏洞，被专门编码为工业控制管理系统。它的作用是通过提高和降低转子速度来修改控制核浓缩操作的离心机的设置，最终引起振动并破坏机器。

  这个恶意软件很成功，据说已经感染了20多万台计算机，最终在伊朗纳坦兹摧毁了近1000台离心机。四、Shamoon

  2016年，针对同一目标，它进行了第二次部署，最近，则是被部署在了意大利石油和天然气承包商Saipem上，据称摧毁了该公司10％的PC机队。五、Triton

  Triton在2017年部署，是专门为SchneiderElectric的Triconex安全仪表系统的控制器交互而设计的。根据Fireeye、Dragos和Symantec的技术报告，Triton的设计目的是关闭生产流程或允许Tricon控制的机器在不安全状态下工作。恶意软件的代码泄露，最终在Github上发布。六、Industroyer

  这场攻击切断了乌克兰首都基辅一部分的电力，并持续了一个小时之久。该恶意软件被认为是Havex和Blacknergy等的进化（它们也曾被用来攻击乌克兰电网）。然而，与Havex和Blacknergy不同，它们更像是针对管理工业系统部署的Windows通用恶意软件，而Industroyer则是专门设计了与西门子电网设备交互的组件。七、Duqu

  第一个版本帮助stuxnet攻击，第二个版本则危害俄罗斯防病毒公司kasperskylab的网络。在美国/欧盟与伊朗就核计划和经济制裁进行国际谈判的奥地利和瑞士酒店的计算机上，同样也发现了duqu2.0。八、PlugX

  被发现以后，中国黑客似乎彼此共享了这个软件，现在它被大范围的应用于中国国家组织，以至于直接将其归为一个群体并不是容易的事情。

  这里有一个关于plugx的技术报告（点击底部原文查看）。九、Winnti

  该恶意软件自2011年发展至今，被称之为模块化后门木马。 安全研究人员最近还发现了Linux变种（点击底部原文查看）。

  Winnti和PlugX非常相似。这是另一个中国制造的APT恶意软件病毒，最初由一个群体使用，但跟着时间的推移，逐渐在中国所有APT享。

  该恶意软件自2011年发展至今，被称之为模块化后门木马。 安全研究人员最近还发现了Linux变种。十、Uroburos

  根据GDATA报告，“rootkit能够控制受感染的计算机，执行任意命令并隐藏系统活动。”

  Uroburos（也称为Turla或Snakerootkit）被广泛部署，并且很有效，因为它的目的非常明确：获得持久启动并下载其他恶意软件。

  Uroburos是TurlaAPT攻击的核心部分，早在2008年就出现在欧洲，美国和中东的受感染计算机上，目标通常是政府机构。它曾经先后出现在45个国家，并且在2014年还发现了Linux变体。十一、ICEFOG

  ICEFOG于2013年首次亮相，在过去两年卷土重来，推出了新版本，甚至是Mac版本。更多的可以见报道（点击底部原文查看）。十二、WARRIORPRIDE

  至于功能，iPhone的变体远比Android的变体先进。它可以从受感染的主机中检索任何内容，通过静默启用麦克风来收听附近的会话，还可以在手机处于睡眠模式时工作。十三、OlympicDestroyer

  据称，OlympicDestroyer是由俄罗斯黑客创建，对国际奥委会的一场报复，原因是反抗俄罗斯运动员参加冬季奥运会的指控，以及禁止其他人在俄罗斯国旗下的竞争。

  恶意软件本身就是一个信息窃取程序，它将应用程序密码转储到受感染的系统上，使得黑客用它来升级对系统的访问权限，此后他们触发数据擦除攻击，导致一些服务器和路由器崩溃。在攻击发生几个月后，即2018年6月，新的OlympicDestroye版本再次被发现。十四、VPNFilter

  原定计划是在决赛的现场实时传输过程中部署恶意软件和损坏路由器，类似于在2018年平昌冬季奥运会开幕式期间OlympicDestroyer的攻击方式。

  幸运的是，思科Talos的安全研究人员看到VPNFilter僵尸网络正在组装，并在FBI的帮助下将其取下。据FBI称，该恶意软件是由FancyBearAPT创建的。十五、WannaCry

  第一个是WannaCry勒索软件，由朝鲜黑客开发，其唯一目的是感染受害者并收集平壤政权的赎金，因为当时该政权受到严厉的经济制裁，为了减轻制裁的影响，该政权就利用国家黑客抢劫银行，开采密码货币或运行勒索软件来收集资金。

  然而，WannaCry代码中存在的问题使得它不仅仅传播到本地网络，勒索软件的内部自我复制（蠕虫）组件还变得混乱并且感染了所有可见的东西，导致了全球的爆发。十六、NotPetya

  然而，由于共享网络和企业VPN导致了NotPetya在全世界内传播，和WannaCry类似，造成了数十亿美元的损失。NotPetya也是使用EternalBlue漏洞作为其蠕虫组件的核心部分。 （有关EternalBlue的更多信息，请参阅最后一章）十七、BadRabbit

  发布之后，它是先被用于密码货币挖掘活动，而真正成为一个广为人知和可识别的术语，是在它被嵌入到2017年三个勒索软件爆发的代码中，即WannaCry，NetPetya和BadRabbit。

  从那以后，EternalBlue始终没消亡，并且被各种网络犯罪行为普遍的使用，通过利用Windows计算机上错误配置的SMBv1客户端，将EternalBlue作为传播到受损网络内其他系统的机制。

  图文系网络转载，版权属于原本的作者所有。不代表本公众号观点，如涉及作品版权问题，请与我们联系，我们将在第一时间协商版权问题或删除内容！

  本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。